Reglamento Europeo de protección de datos

El próximo 25 de mayo del 2018 es el día que todos los consultores en materia de protección de datos, abogados y asesores tienen marcada en sus calendarios, ya que es la fecha límite para la aplicación del Reglamento Europeo 679/2016 de protección de datos, más conocido como el RGPD, una vez transcurridos los dos años de margen desde su entrada en vigor.

La aplicación de este nuevo Reglamento, es el cambio más importante que se produce en este ámbito des de hace muchos años y pretende armonizar todas las normativas de los estados miembros y dar mas garantías de control a los ciudadanos.

Es este contexto, hay mucha inquietud entre las empresas sobre como implantar las nuevas medidas, ciertas dudas sobre algunas aspectos que se ponen de manifiesto en las ponencias y congresos a los que asistimos. Además, en paralelo a la aplicación de éste Reglamento que deroga la anterior directiva 95/46 CE, se ha aprobado la nueva "LOPD" que podrá complementar en algunos aspectos al RGPD i que se ha previsto que entre en vigor el mismo día que el RGPD.

Desde Economía Sensible, queremos ayudaros a entender de forma sintetizada cuales serán estos cambios i las implicaciones practicas que tendrá el nuevo RGPD para facilitar al máximo la transición. Hemos preparado un resumen de los aspectos que consideramos más importantes :

1.- ¿ Aplicar el RGPD supone más carga para mi empresa?

El Reglamento supondrá un mayor compromiso de las empresas con la protección de datos, pero no necesariamente una mayor carga de trabajo. Es muy importante tener en cuenta que , si actualmente ya llevamos una correcta gestión de la actual LOPD, el RGPD será una continuación o reemplazamiento de las medidas que ya estamos aplicando. Además, en nuestro caso, ya partimos de una buena base por lo que hace referencia a las medidas de seguridad (RD1720/2007) derivadas de la LOPD, aspecto diferencial con otros países.

2.- Obtención del consentimiento

Es uno de los cambios más relevantes que implica el RGPD. Si hasta ahora teníamos diferentes modalidades de obtener el consentimiento para el tratamiento de los datos, ahora se limita a que haya un declaración de los interesados o una acción positiva que indique el acuerdo del mismo. Se prohíben practicas como el consentimiento tácito o por inacción del ciudadano tipo: " si en 30 días no nos da su negativa al tratamiento de sus datos, entendemos que está de acuerdo..."

En el caso de las páginas web, se podrán seguir utilizando las casillas para la obtención del consentimiento, pero no serán validas las casillas pre-marcadas. Además , el consentimiento deberá de darse para cada una de las finalidades del tratamiento y ser verificable.

Si el consentimiento obtenido previo a la aplicación del RGPD es conforme a los requisitos, no será necesario obtenerlo nuevamente. Los tratamientos basados en el "consentimiento tácito" deberán de encontrar fundamento en otra causa de legitimidad. No obstante, se deberán estudiar caso por caso, dado que en algunos supuestos, es posible que no sea necesario el consentimiento porque el tratamiento ser realiza bajo el amparo del interés legítimo o poner la ejecución de un contrato.

3.- Clausulas de información - Avisos de privacidad.

Se han de revisar las clausulas informativas y avisos legales. El RGPD prevé que se incorporen en la información que se proporciona a los interesados una serie de cuestiones que con la Directiva i muchas leyes nacionales de transposición no eran necesariamente obligatorias ( Base jurídica del tratamiento, términos de conservación o criterios para su determinación) Esta información, deberá proporcionarse de forma concisa, transparente, inteligible, de fácil acceso y con un lenguaje claro y sencillo, por escrito o otros medios y de forma gratuita.

4.- Contratos con terceros - Encargados del tratamiento (ET).

Se amplia el contenido de los contratos firmantes con los encargados del tratamiento ( ET - terceros que nos presten un servicio con acceso a datos) que hay que incluir entre otros aspectos: Descripción detallada de los servicios prestados, medidas aplicadas, posibles transferencias internacionales de datos, subcontrataciones etc.. Se recomienda firmar de nuevo con todos los terceros los nuevos contratos con el contenido adaptado al nuevo RGPD.

5.- Niveles de seguridad de los datos.

No se establecen niveles de los datos (básico, medio, alto) como en la LOPD para aplicar las correspondientes medidas de seguridad, pero se mantiene la categoría de nivel alto que pasa a llamarse " categorías especiales de datos ". Además, el RGPD incluye dos nuevas categorías en este apartado : Datos genéticos y datos biométricos.

6.- Medidas de seguridad.

El RGPD no establece medidas de seguridad específicas tales como conocíamos de las de RD1720/2007 pero aparece el concepto LA RESPONSABILIDAD PROACTIVA (Accountability) que hace referencia a la prevención por parte de las organizaciones que tratan datos. Es decir, las empresas deberan aplicar las medidas necesarias para garantizar los criterios de seguridad correspondientes: Confidencialidad, integridad, disponibilidad, y resiliencia. Medidas para asegurar el cumplimiento del RGPD:

- Protección de datos desde el diseño.

- Protección de datos por defecto.

- Medidas de seguridad ( técnico-organizativas).

- Mantenimiento de un registro de actividades de tratamiento.

- Análisis de riesgos i evaluaciones de impacto ( cuando sea probable que el tratamiento presente un alto riesgo especifico para los derechos y libertados de los interesados)

- Nombramiento de un delegado de protección de datos (DPO) ( solo en determinados supuestos.)

- Notificación de violaciones de la seguridad de los datos.

7.- Registro de ficheros.

La inscripción actual de ficheros delante de la Agencia de protección de datos (AEPD) desaparece, pero obliga al responsable del tratamiento (RT) y al encargado del tratamiento (ET) a llevar un "registro de actividades de tratamiento" con un contenido mínimo. Este registro de actividades, seria, de alguna manera el equivalente al actual "Documento de seguridad".

8.- Nuevos Derechos - Olvido y portabilidad.

Además de los tradicionales derechos ARCO (acceso, rectificación, cancelación y oposición) el RGPD introduce nuevos conceptos como el derecho al olvido ( manifestación de los tradicionales derechos de cancelación y oposición aplicados a los buscadores de internet) i el derecho a la portabilidad (permite al interesado recuperar sus datos de forma estructurada para trasladarlos a otro responsable).

9.- Delegado de protección de datos  - DPO.

Se asignara un delegado de protección de datos siempre que:

- El tratamiento lo lleve a cabo una autoridad o organismo público (excepto tribunales cuando actúan en su función jurisdiccional).

- Las actividades principales consisten en operaciones que requieran una observación habitual i sistemática de interesados a gran escala.

- Las actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos personales.

El DPO será designado ateniendo a sus cualidades profesionales, y , en particular a sus conocimiento especializado en Derecho y la practica en materia de protección de datos. Podrá formar parte de la plantilla o realizar sus funciones como externo mediante un contrato de prestación de servicios. La AEPD publicó en julio el esquema de Certificación de Delegados de Protección de datos para establecer un mecanismo de certificación para esta nueva figura que será relevante dentro de las corporaciones.

Sobre el DPO, algunos clientes nos han comunicado que han recibido llamadas de empresas que les transmiten que están incumpliendo la normativa por no tener esta figura en su organización. Por descontado, ofreciendo sus servicios a continuación, tenemos que previamente valorar que implica para el negocio el RGPD i si por ejemplo, realmente necesita un DPO.

El equipo de Economía Sensible, esta a vuestra disposición para resolver las dudas que os puedan surgir.

Departamento de protección de datos.

carol@economiasensible.cat